Sabtu, 14 Mei 2011

Social Engeneering (Soceng)

. Sabtu, 14 Mei 2011

Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasikelemahan manusia. Contohnya kelemahan manusia yang dimaksud misalnya:

1) Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari
atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan
langsung memberikan tanpa merasa sungkan.


2) Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik,
rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan
langsung memberikannya tanpa harus merasa curiga.

3) Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang
sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana,
atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data
atau informasi yang diinginkan tanpa bertanya lebih dahulu.


Tipe Social Engineering


Pada dasarnya teknik Soceng dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer. Tapi yang akan saya jelaskan kali ini adalah teknik kedua yg berbasis interaksi komputer. Dalam skenario ini yang menjadi sasaran penipuan adalah individu yang bekerja di divisi teknologi informasi perusahaan. Modus operandinya yang sering dipergunakan seperti:

Skenario 1 (Teknik Phishing – melalui Email)


Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank. Email yang dimaksud berbunyi misalnya sebagai berikut:

“Pelanggan Yth. Sehubungan sedang dilakukannya upgrade sistem teknologi informasi di bank ini, maka agar anda tetap mendapatkan pelayanan perbankan yang prima, mohon disampaikan kepada kami nomor rekening, username, dan password anda untuk kami perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini. Terima kasih atas perhatian dan koordinasi anda sebagai pelanggan setia kami.

Wassalam,
Manajer Teknologi Informasi”


Bagaimana caranya si penjahat tahu alamat email yang bersangkutan? Banyak cara yang
dapat diambil, seperti: melakukan searching di internet, mendapatkan keterangan dari kartu nama, melihatnya dari anggota mailing list, dan lain sebagainya.

Skenario 2 (Teknik Phishing – melalui SMS)

Pengguna telepon genggam di Indonesia naik secara pesat. Sudah lebih dari 100 juta nomor terjual pada akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada pada telepon genggam atau sejenisnya untuk melakukan social engineering seperti yang terlihat pada contoh SMS berikut ini:

“Selamat. Anda baru saja memenangkan hadiah sebesar Rp 25,000,000 dari Bank X yang bekerjasama dengan provider telekomunikasi Y. Agar kami dapat segera mentransfer uang tunai kemenangan ke rekening bank anda, mohon diinformasikan user name dan passoword internet bank anda kepada kami. Sekali lagi kami atas nama Manajemen Bank X mengucapkan selamat atas kemenangan anda…”

Skenario 3 (Teknik Phishing – melalui Pop Up Windows)

Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang bertuliskan sebagai berikut:

“Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk
membersihkannya, tekanlah tombol BERSIHKAN di bawah ini.”


Tentu saja para awam tanpa pikir panjang langsung menekan tombol BERSIHKAN yang
akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih komputer terkait yang dapat dimasukkan virus atau program mata-mata lainnya.

Jenis Social Engineering Lainnya

Karena sifatnya yang sangat “manusiawi” dan memanfaatkan interaksi sosial, teknik-teknik memperoleh informasi rahasia berkembang secara sangat variatif. Beberapa contoh adalah sebagai berikut:

a) Ketika seseorang memasukkan password di ATM atau di PC, yang bersangkutan
“mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat
terlihat

b) Mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja
perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya;

c) Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor
manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia;

d)Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit”
individu atau mereka yang memiliki akses legal;

e) Mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card
yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam;

f) Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan
manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah
informasi berharga;

g) Melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil
pelan-pelan berusaha menguak sejumlah informasi berharga darinya;

h) Dengan menggunakan situs social networking – seperti facebook, myspace, friendster, dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia;

dan lain sebagainya.

Target Korban Social Engineering

Statistik memperlihatkan, bahwa ada 4 (empat) kelompok individu di perusahaan yang kerap menjadi korban tindakan social engineering, yaitu:

1) Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk
ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel
yang bekerja dalam lingkungan dimaksud;

2) Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani
pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci
akses penting ke data dan informasi rahasia, berharga, dan strategis;

3) Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk
mengelola manajemen password dan account semua pengguna teknologi informasi di
perusahaan

4) Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak
yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang
dipergunakan oleh segenap manajemen dan karyawan perusahaan;

5) Karyawan baru yang masih belum begitu paham mengenai prosedur standar
keamanan informasi di perusahaan.

0 komentar:

:)) ;)) ;;) :D ;) :p :(( :) :( :X =(( :-o :-/ :-* :| 8-} :)] ~x( :-t b-( :-L x( =))

Poskan Komentar

 
{nama-blog-anda} is proudly powered by Blogger.com | Template by Agus Ramadhani | o-om.com